Uma Introdução ao ImmuneFi: A Plataforma de Recompensa pelos Erros Principal do Mundo
A indústria da blockchain não é estranha a ataques, principalmente porque armazena e protege bilhões de ativos digitais. Apenas em outubro, mais de $55 milhões foram perdidos devido a ataques a projetos como Radiant Capital e Morpho Labs. Esses ataques visam bugs no código do projeto original, procurando brechas e portas dos fundos para se infiltrar.
Reconhecendo a necessidade de uma solução descentralizada para mitigar isso, Mitchell Amador fundou ImmuneFi para proteger projetos de blockchain de bugs que possam causar problemas, não importa o quão pequenos sejam. Assim, precisamos entender o que ImmuneFi faz e como beneficia a comunidade blockchain.
O que é ImmuneFi?
Origem: immunefi
Immunefi é uma plataforma de segurança que protege projetos Web3 identificando e corrigindo falhas em sistemas de blockchain, contratos inteligentes e aplicações descentralizadas (dApps). Os bugs são simplesmente falhas ou vulnerabilidades no código de um sistema. Essencialmente, o Immunefi incentiva hackers éticos a encontrar e relatar bugs e recompensá-los com base na gravidade da vulnerabilidade.
Além dos seus serviços de recompensa pelos erros, a Immunefi fornece várias ferramentas para melhorar a segurança da blockchain. Essas ferramentas incluem hospedagem de rede, gestão do processo de triagem para relatórios de erros e supervisão de programas de segurança completos para diferentes projetos. Seus serviços de contrato inteligente são especialmente úteis para realizar revisões de código e detectar vulnerabilidades, o que ajuda a proteger contra atores maliciosos. A Immunefi também possui um ecossistema com mais de 35.000 pesquisadores de segurança, sendo que mais de 1.000 deles descobriram erros críticos na mainnet.
História da ImmuneFi
ImmuneFi foi fundada porMitchell Amador, que lançou a plataforma em 9 de dezembro de 2020. A ideia para o ImmuneFi surgiu a Amador durante uma viagem de caminhada nos Alpes suíços no início de 2020, quando descobriu que um projeto de criptomoeda diferente tinha sido vítima de um incidente de hacking. Este incidente destacou a necessidade urgente de segurança aprimorada nos espaços DeFi e Web3, já que nenhuma solução existente abordava essas vulnerabilidades.
Reconhecendo que o talento para enfrentar esse problema existia dentro da comunidade, Amador percebeu que uma plataforma unificadora era necessária para incentivar os hackers a ajudar a proteger projetos. Isso levou à criação da Immunefi, uma plataforma de recompensa pelos erros dedicada a aprimorar a segurança das aplicações Web3.
Desde a sua criação, a ImmuneFi estabeleceu uma forte reputação, associando-se a projetos proeminentes como Synthetix, TheGraph, Polígono, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Rede Bancor, e Chainlink. Hoje, o ImmuneFi é a principal plataforma de recompensa pelos erros na Web3, atendendo mais de 330 projetos.
O impacto do ImmuneFi tem sido significativo, com a plataforma alegadamente poupar mais de $25 mil milhõesem fundos de utilizadores de possíveis ataques e distribuindo mais de $100 milhões em recompensas. Atualmente, a plataforma desempenha um papel crucial na proteção de mais de $190 mil milhões em ativos de utilizadores, reforçando a importância da segurança orientada pela comunidade no mundo em constante evolução das criptomoedas.
Como funciona o ImmuneFi?
ImmuneFi opera um sistema transparente de recompensa pelos erros apoiado por um mecanismo de consenso de prova de conceito. Uma prova de conceito é um código básico e funcional escrito por um white hat que destaca falhas em um contrato inteligente ou sistema blockchain. É criado para mostrar como essas falhas podem ser exploradas sem causar problemas em um ambiente ao vivo. Como tal, eles servem como a maneira padrão de fornecer evidências do impacto potencial de um bug em um projeto. Eles também são exigidos por quase todos os programas de recompensa pelos erros na ImmuneFi.
As operações da ImmuneFi atendem tanto a hackers whitehat quanto a proprietários de projetos. Whitehats são hackers éticos que identificam e abordam vulnerabilidades em sistemas e software antes que atores mal-intencionados possam explorá-las. Esses atores mal-intencionados são conhecidos como blackhats, e embora se envolvam em atividades ilegais para ganho pessoal, os whitehats operam dentro de limites legais e muitas vezes colaboram com organizações para aprimorar sua segurança.
Por um lado, hackers whitehat (profissionais de segurança cibernética que identificam e corrigem vulnerabilidades do sistema) exploram uma seleção de recompensas pelos erros no valor de mais de $162 milhões de projetos conceituados no espaço Web3. Uma vez que encontram um programa que corresponda às suas habilidades, os participantes podem analisar os requisitos da recompensa e examinar o código específico elegível para revisão. No entanto, apenas os erros descobertos dentro do código especificado no escopo da recompensa serão recompensados.
Depois de encontrar um bug, o hacker whitehat deve criar uma conta e enviar o bug através do Plataforma de bugs ImmuneFi. Assim que a equipe da ImmuneFi confirmar a validade do bug, eles trabalharão em conjunto com o caçador de recompensas e o cliente para resolver o problema, após o qual os pagamentos serão feitos.
Do lado dos proprietários do projeto, eles teriam que preencher um formulário de integração de recompensa pelos erros, após o qual receberão um questionário. A ImmuneFi usará então as respostas ao questionário para elaborar um programa de recompensa pelos erros. Posteriormente, o projeto envia o rascunho da recompensa pelos erros ao cliente para revisão. Se tudo estiver bem, a recompensa é entregue ao especialista em lançamento, que trabalhará com a equipe de marketing do cliente para decidir o melhor momento de lançamento e outros detalhes de marketing.
Como serviço ao cliente, a ImmuneFi escreve análises de correção de erros para vulnerabilidades para lembrar à comunidade cripto maior sobre o compromisso do projeto com a segurança. Eles também fornecem assistência de RP e conselhos sobre como comunicar efetivamente as vulnerabilidades do patch.
ImmuneFi também usa um sistema de classificação de gravidadepara gerir eficientemente relatórios de erros. Este sistema categoriza vulnerabilidades com base no seu impacto potencial nos fundos do utilizador, funcionalidade da rede e segurança geral do protocolo. Cada projeto dentro da rede ImmuneFi é atribuído um nível de gravidade, encontrado na secção "Recompensas por Nível de Ameaça" na página do programa de recompensas por erros do projeto.
A versão mais recente do Sistema de Classificação de Gravidade de Vulnerabilidade do Immunefi (v2.3) usa uma escala de quatro níveis: Crítico, Alto, Médio e Baixo. Vulnerabilidades críticas podem levar a consequências graves, como interrupções totais na rede ou roubo significativo de fundos, enquanto as categorias mais baixas focam em problemas menos graves, como pequenos erros em contratos inteligentes.
O sistema também delineia áreas consideradas fora do escopo, incluindo vulnerabilidades em arquivos de teste, ataques relacionados à governança e riscos econômicos fora da jurisdição do ImmuneFi. Esse framework ajuda os desenvolvedores a aprimorar a segurança de seus projetos, fornecendo diretrizes padrão para classificação e abordagem de vulnerabilidades. Ele também especifica todas as condutas proibidas nos programas de recompensa por erros para garantir práticas éticas e seguras de teste de segurança.
Principais características do ImmuneFi
ImmuneFi é o lar de várias características interessantes, incluindo:
Perfis ImmuneFi
Origem: immunefi
Perfis ImmuneFiajudar os whitehats a mostrar as suas conquistas ao mundo, incluindo as vulnerabilidades que reportaram, os seus ganhos, os crachás e prémios que conquistaram e a sua classificação no quadro de líderes da ImmuneFi.
Embora ainda seja a primeira versão, os perfis estarão disponíveis para todos os white hats com pelo menos um relatório pago no ImmuneFi. No entanto, nas próximas atualizações, toda a comunidade de pesquisa poderá acessar os perfis. A nova versão também incluirá novos recursos, como um Feed de Contribuição, que exibe relatórios ao longo do tempo para que os usuários possam acompanhar seu impacto.
O ImmuneFi tem seis crachás que serão anexados ao perfil do participante. Estes incluem:
- Um de Nós: Este distintivo é atribuído ao concluir o seu perfil Immunefi, incluindo todos os seus links de redes sociais.
- Comprei o BMW: Quando você ganhou mais de $100.000 na ImmuneFi.
- Há relva lá fora, sabes: Quando ganhaste mais de $1,000,000.
- Amigos em Posições Elevadas: Depois de ter ligado o seu perfil Immunefi à sua biografia do Twitter (pode demorar até 24 horas para aparecer, mas normalmente registra em 10 minutos).
- High Five: Depois de receber cinco recompensas no Immunefi.
- Rocketman: Quando identificas uma recompensa válida de um Impulso.
Mais distintivos, cartões de impulso e conquistas serão adicionados em atualizações posteriores.
Competições de auditoria
Origem: immunefi
Um Concurso de auditoriaÉ uma revisão de código sensível ao tempo com um pool de recompensa designado para whitehats. Durante esses eventos, hackers éticos relatam vulnerabilidades de segurança e as recompensas são alocadas com base no impacto e na gravidade de suas descobertas, conforme determinado pelo sistema de classificação da Immunefi.
A Immunefi associa-se a cada projeto de blockchain para personalizar a competição, incluindo a decisão sobre o tamanho do pool de recompensas e a duração do evento, e fornecendo assistência especializada em marketing para atrair pesquisadores hábeis.
Uma vez concluída a competição, os participantes são recompensados pelas suas contribuições, e os projetos recebem um relatório abrangente que descreve as principais descobertas e insights obtidos durante o evento.
Os desenvolvedores podem lançar competições de auditoria em dias e obter atualizações em tempo real enquanto a competição está em andamento. Eles também são mais econômicos do que a maioria das competições de auditoria, oferecendo taxas 20% mais baratas e conectando os desenvolvedores a uma comunidade mais ampla e qualificada de pesquisadores de segurança.
Outra característica notável é a tabela de classificação, que permite aos participantes acompanhar seu desempenho e se comparar. Além disso, os desenvolvedores ainda podem receber recompensas mesmo se outro pesquisador descobrir um erro primeiro. A recompensa é compartilhada entre todos que identificam o mesmo problema, assim aliviando a pressão de pressa e promovendo o trabalho em equipe.
Prémios whitehat
Origem: médio
O ImmunefiPrémios Whitehatsão projetados para celebrar os esforços notáveis dos whitehats que desempenharam um papel vital no aprimoramento da segurança do Web3. Estes prêmios reconhecem indivíduos pela sua reportação responsável de vulnerabilidades de segurança e oferecem diferentes formas de reconhecimento, como NFTs digitais e artigos de luxo.
Os prémios seguem uma estrutura escalonada, incentivando os hackers a atingirem metas específicas, como enviar relatórios que se qualifiquem para pagamento ou atingir determinados limiares de recompensa. Atualmente, as camadas são divididas em Camada Inicial, para whitehats que ganharam mais de $50,000 na ImmuneFi, e Camada Elite, para aqueles que ganharam mais de $100,000. No entanto, espera-se que mais camadas, como a Camada Mestre (mais de $1 milhão em ganhos) e a Camada Grande Mestre (mais de $10 milhões em ganhos), sejam anunciadas em breve.
Coleção do Salão da Fama dos Whitehats
Fonte:immunefi
A Whitehat Hall of Fame é uma coleção de NFTs para os white hats mais aclamados do mundo. Os detentores deste cartão do Hall da Fama são considerados os hackers mais talentosos e importantes do mundo. Eles recebem NFTs personalizados para imortalizar suas contribuições para a segurança da Web3.
Cada NFT é único e cunhado especificamente para cada relatório de erro significativo e bem-sucedido. Os detentores podem mantê-lo gratuitamente ou vendê-lo a colecionadores interessados em celebrar momentos históricos na segurança da Web3.
Apenas por convite
Fonte: immunefi
O ImmuneFiPrograma de Convite Exclusivoé projetado para selecionar apenas os pesquisadores mais qualificados para projetos específicos de recompensa por erros. Esse processo de seleção considera os requisitos técnicos de cada projeto e seu ecossistema, garantindo que a expertise dos pesquisadores esteja alinhada com as necessidades do projeto para uma auditoria eficaz ou participação em recompensas por erros.
A principal característica deste programa é o seu compromisso em manter a privacidade e confidencialidade. As equipas do projeto podem adaptar os seus protocolos para incluir acordos específicos relativos à confidencialidade, controlo sobre a visibilidade dos ativos e preferências relacionadas com a publicação dos resultados. Isto garante que qualquer informação sensível é tratada de forma segura, permitindo que os projetos trabalhem com especialistas em segurança de alto nível, ao mesmo tempo que mantêm os seus padrões de privacidade.
Ao concentrar-se em vulnerabilidades críticas e problemas de segurança significativos, o Programa Somente por Convite minimiza efetivamente o período de tempo em que possíveis ameaças podem surgir. Isso leva a uma detecção mais rápida e resolução de preocupações de segurança, aumentando assim a segurança geral do projeto de blockchain.
Cofres ImmuneFi
Fonte: immunefi
As Vaults ImmuneFi são projetadas para aumentar a transparência e a confiança entre whitehats e proprietários de projetos, ajudando-os a gerir de forma segura os ativos e pagamentos de recompensa pelos erros. Os projetos podem depositar e levantar fundos das suas vaults, e o saldo alocado para as recompensas é visível para os whitehats. Este nível de transparência ajuda a construir confiança, uma vez que os whitehats serão incentivados a submeter relatórios de erros de alto nível, uma vez que têm a certeza de que o projeto tem dinheiro suficiente para pagar pelos erros.
Os projetos podem configurar suas cúpulas em menos de 10 minutos. Após verificar um relatório de bug válido, os pagamentos são emitidos diretamente da cúpula do projeto, tornando as transações perfeitas e seguras. Este sistema também inclui recursos como verificação de carteira para evitar erros ou pagamentos errados.
As Vaults estão atualmente disponíveis na Ethereum e na Optimism, e espera-se que estejam disponíveis noutras cadeias EVM como a Polygon, a Gnosis Chain e a Arbitrum. Os projetos podem depositar stablecoins, ETH e qualquer outro ativo na lista de tokens da Uniswap. Eles também podem pagar recompensas com um ou mais ativos numa única transação.
Refúgio seguro do ImmuneFi
Fonte: immunefi
O ImmuneFi Safe Harbor é um quadro legal criado pela Security Alliance (SEAL) para permitir que whitehats protejam os fundos de um projeto quando este está sob ataque de blackhats ou atores maliciosos. Este quadro permite-lhes recuperar fundos que estão em risco durante tais ataques e redirecionar esses fundos com segurança para um Vault designado gerido pela Immunefi. Em troca, esses pesquisadores podem ganhar até 60% da recompensa máxima crítica disponível para o projeto.
Immunefi também integrou o Safe Harbor nos programas existentes de recompensa pelos erros. O Safe Harbor também utiliza o painel de relatórios de erros existente, para que os projetos possam usar o mesmo sistema de alerta de emergência e pessoal de segurança com os quais se sentem confortáveis. Como tal, o Safe Harbor atua como uma extensão dos programas de recompensa pelos erros da ImmuneFi.
Bugs Comuns Encontrados Pelos Hackers Immune Fi
Reentrância
As vulnerabilidades de reentrância ocorrem quando um contrato inteligente pode ser chamado várias vezes antes que a primeira execução seja concluída. Isso permite que os atacantes insiram código malicioso que chama repetidamente o mesmo contrato, drenando fundos ou alterando seu estado. Um exemplo famoso é o hack do DAO em 2016, que visava a rede Ethereum inicial. Para evitar problemas de reentrância, os desenvolvedores podem usar guardas de reentrância para evitar chamadas múltiplas durante uma única operação.
Oracle/Manipulação de Preços
Os oráculos de preço fornecem dados críticos do mercado, como preços de tokens, para contratos inteligentes. Assim, a manipulação do oráculo envolve atacantes explorando esses feeds de dados para fornecer informações falsas, resultando em cálculos de preço imprecisos. Por exemplo, manipular o oráculo permite a um atacante inflacionar os preços dos tokens e lucrar durante as transações. Para evitar isso, os desenvolvedores usam oráculos descentralizados que agregam dados de várias fontes.
Controlo de Acesso Fraco
A maioria dos sistemas adota medidas rigorosas de controle de acesso, como permissões baseadas em funções e autenticação robusta, para proteger contra acesso não autorizado. Esses controles garantem que usuários e processos recebam apenas as permissões necessárias para suas funções específicas. Documentar as capacidades e limitações de cada função ajuda a identificar possíveis vulnerabilidades, possibilitando testes unitários mais eficazes e resolução de conflitos. Esse processo ajuda a garantir que o sistema funcione conforme o previsto, reduzindo o risco de vulnerabilidades críticas causadas por negligência ou configurações incorretas.
Além disso, é essencial limitar a autoridade de cada função. Conceder permissões excessivas ou depender muito do controle centralizado pode causar danos significativos se uma conta ou chave privada for comprometida. Dividir as funções em segmentos menores reduzirá o impacto de tais violações, melhorando a estabilidade do sistema.
Frontrunning
A frontrunning ocorre quando um atacante explora a natureza pública das transações em blockchain. Os atacantes observam as transações pendentes no mempool (uma área temporária para armazenar transações não executadas na blockchain), e em seguida, colocam suas transações com taxas de gás mais altas para serem executadas antes da transação da vítima. Isso é particularmente comum em exchanges descentralizadas, onde o timing pode afetar os resultados das negociações.
Proxy não inicializado
Os contratos proxy não inicializados ocorrem quando as variáveis de armazenamento dentro de um contrato proxy não são configuradas corretamente antes de serem usadas. Essa falta de configuração adequada pode levar a riscos de segurança, uma vez que essas variáveis não inicializadas podem conter dados importantes ou influenciar funções-chave do contrato. Hackers maliciosos podem explorar essas vulnerabilidades, manipulando as variáveis não inicializadas para obter acesso não autorizado.
Notícias sobre ImmuneFi
Na edição de outubro de 2024 da sua relatório de perdas de criptomoedasImmuneFi compartilhou algumas estatísticas interessantes sobre as perdas que a comunidade cripto enfrentou este ano. De acordo com o relatório, a comunidade cripto perdeu até $1,400,073,177 para hacks e golpes até outubro de 2024, em 179 incidentes. Isso representa uma diminuição de um por cento em relação a outubro de 2023, quando as perdas chegaram a $1,414,641,935.
Em outubro de 2024, a comunidade cripto registou perdas de até $55,138,600 devido a hacks em sete incidentes, sem relato de fraudes. Isso representou um aumento de 114% em relação a outubro de 2023, mas uma diminuição de 56.6% em relação a setembro de 2024. As perdas mais significativas foram da Radiant Capital ($50 milhões) e da Tapioca DAO ($4.4 milhões). A DeFi foi o único setor afetado, com a BNB Chain sendo a mais visada, representando 50% das perdas totais. A ImmuneFi pagou mais de $100 milhões em recompensas pelos erros e salvou mais de $25 bilhões em fundos de usuários.
ImmuneFi é um bom investimento?
A ImmuneFi construiu uma reputação como o principal programa de recompensa pelos erros na indústria de criptomoedas. Oferece programas de recompensa pelos erros de escopo geral e soluções personalizadas como o programa Somente por Convite. ImmuneFi é o ponto de encontro para hackers éticos e proprietários de projetos, ajudando os projetos a se manterem seguros. Como tal, com sua expertise em segurança e abordagem flexível, ImmuneFi ajuda os projetos a construir ecossistemas mais seguros.
Artigos relacionados
Como Aposta ETH
Utilização de Bitcoin (BTC) em El Salvador - Análise do Estado Atual
O que é o Gate Pay?
Uma Introdução ao ImmuneFi: A Plataforma de Recompensa pelos Erros Principal do Mundo
O que é ImmuneFi?
Como funciona o ImmuneFi?
Principais recursos do ImmuneFi
Cofres ImmuneFi
ImmuneFi Safe Harbor
Bugs Comuns Encontrados Por Hackers de Imune Fi
Notícias sobre ImmuneFi
ImmuneFi é um bom investimento?
A indústria da blockchain não é estranha a ataques, principalmente porque armazena e protege bilhões de ativos digitais. Apenas em outubro, mais de $55 milhões foram perdidos devido a ataques a projetos como Radiant Capital e Morpho Labs. Esses ataques visam bugs no código do projeto original, procurando brechas e portas dos fundos para se infiltrar.
Reconhecendo a necessidade de uma solução descentralizada para mitigar isso, Mitchell Amador fundou ImmuneFi para proteger projetos de blockchain de bugs que possam causar problemas, não importa o quão pequenos sejam. Assim, precisamos entender o que ImmuneFi faz e como beneficia a comunidade blockchain.
O que é ImmuneFi?
Origem: immunefi
Immunefi é uma plataforma de segurança que protege projetos Web3 identificando e corrigindo falhas em sistemas de blockchain, contratos inteligentes e aplicações descentralizadas (dApps). Os bugs são simplesmente falhas ou vulnerabilidades no código de um sistema. Essencialmente, o Immunefi incentiva hackers éticos a encontrar e relatar bugs e recompensá-los com base na gravidade da vulnerabilidade.
Além dos seus serviços de recompensa pelos erros, a Immunefi fornece várias ferramentas para melhorar a segurança da blockchain. Essas ferramentas incluem hospedagem de rede, gestão do processo de triagem para relatórios de erros e supervisão de programas de segurança completos para diferentes projetos. Seus serviços de contrato inteligente são especialmente úteis para realizar revisões de código e detectar vulnerabilidades, o que ajuda a proteger contra atores maliciosos. A Immunefi também possui um ecossistema com mais de 35.000 pesquisadores de segurança, sendo que mais de 1.000 deles descobriram erros críticos na mainnet.
História da ImmuneFi
ImmuneFi foi fundada porMitchell Amador, que lançou a plataforma em 9 de dezembro de 2020. A ideia para o ImmuneFi surgiu a Amador durante uma viagem de caminhada nos Alpes suíços no início de 2020, quando descobriu que um projeto de criptomoeda diferente tinha sido vítima de um incidente de hacking. Este incidente destacou a necessidade urgente de segurança aprimorada nos espaços DeFi e Web3, já que nenhuma solução existente abordava essas vulnerabilidades.
Reconhecendo que o talento para enfrentar esse problema existia dentro da comunidade, Amador percebeu que uma plataforma unificadora era necessária para incentivar os hackers a ajudar a proteger projetos. Isso levou à criação da Immunefi, uma plataforma de recompensa pelos erros dedicada a aprimorar a segurança das aplicações Web3.
Desde a sua criação, a ImmuneFi estabeleceu uma forte reputação, associando-se a projetos proeminentes como Synthetix, TheGraph, Polígono, MakerDAO, Nexus Mutual, SushiSwap, Vesper Finance, Rede Bancor, e Chainlink. Hoje, o ImmuneFi é a principal plataforma de recompensa pelos erros na Web3, atendendo mais de 330 projetos.
O impacto do ImmuneFi tem sido significativo, com a plataforma alegadamente poupar mais de $25 mil milhõesem fundos de utilizadores de possíveis ataques e distribuindo mais de $100 milhões em recompensas. Atualmente, a plataforma desempenha um papel crucial na proteção de mais de $190 mil milhões em ativos de utilizadores, reforçando a importância da segurança orientada pela comunidade no mundo em constante evolução das criptomoedas.
Como funciona o ImmuneFi?
ImmuneFi opera um sistema transparente de recompensa pelos erros apoiado por um mecanismo de consenso de prova de conceito. Uma prova de conceito é um código básico e funcional escrito por um white hat que destaca falhas em um contrato inteligente ou sistema blockchain. É criado para mostrar como essas falhas podem ser exploradas sem causar problemas em um ambiente ao vivo. Como tal, eles servem como a maneira padrão de fornecer evidências do impacto potencial de um bug em um projeto. Eles também são exigidos por quase todos os programas de recompensa pelos erros na ImmuneFi.
As operações da ImmuneFi atendem tanto a hackers whitehat quanto a proprietários de projetos. Whitehats são hackers éticos que identificam e abordam vulnerabilidades em sistemas e software antes que atores mal-intencionados possam explorá-las. Esses atores mal-intencionados são conhecidos como blackhats, e embora se envolvam em atividades ilegais para ganho pessoal, os whitehats operam dentro de limites legais e muitas vezes colaboram com organizações para aprimorar sua segurança.
Por um lado, hackers whitehat (profissionais de segurança cibernética que identificam e corrigem vulnerabilidades do sistema) exploram uma seleção de recompensas pelos erros no valor de mais de $162 milhões de projetos conceituados no espaço Web3. Uma vez que encontram um programa que corresponda às suas habilidades, os participantes podem analisar os requisitos da recompensa e examinar o código específico elegível para revisão. No entanto, apenas os erros descobertos dentro do código especificado no escopo da recompensa serão recompensados.
Depois de encontrar um bug, o hacker whitehat deve criar uma conta e enviar o bug através do Plataforma de bugs ImmuneFi. Assim que a equipe da ImmuneFi confirmar a validade do bug, eles trabalharão em conjunto com o caçador de recompensas e o cliente para resolver o problema, após o qual os pagamentos serão feitos.
Do lado dos proprietários do projeto, eles teriam que preencher um formulário de integração de recompensa pelos erros, após o qual receberão um questionário. A ImmuneFi usará então as respostas ao questionário para elaborar um programa de recompensa pelos erros. Posteriormente, o projeto envia o rascunho da recompensa pelos erros ao cliente para revisão. Se tudo estiver bem, a recompensa é entregue ao especialista em lançamento, que trabalhará com a equipe de marketing do cliente para decidir o melhor momento de lançamento e outros detalhes de marketing.
Como serviço ao cliente, a ImmuneFi escreve análises de correção de erros para vulnerabilidades para lembrar à comunidade cripto maior sobre o compromisso do projeto com a segurança. Eles também fornecem assistência de RP e conselhos sobre como comunicar efetivamente as vulnerabilidades do patch.
ImmuneFi também usa um sistema de classificação de gravidadepara gerir eficientemente relatórios de erros. Este sistema categoriza vulnerabilidades com base no seu impacto potencial nos fundos do utilizador, funcionalidade da rede e segurança geral do protocolo. Cada projeto dentro da rede ImmuneFi é atribuído um nível de gravidade, encontrado na secção "Recompensas por Nível de Ameaça" na página do programa de recompensas por erros do projeto.
A versão mais recente do Sistema de Classificação de Gravidade de Vulnerabilidade do Immunefi (v2.3) usa uma escala de quatro níveis: Crítico, Alto, Médio e Baixo. Vulnerabilidades críticas podem levar a consequências graves, como interrupções totais na rede ou roubo significativo de fundos, enquanto as categorias mais baixas focam em problemas menos graves, como pequenos erros em contratos inteligentes.
O sistema também delineia áreas consideradas fora do escopo, incluindo vulnerabilidades em arquivos de teste, ataques relacionados à governança e riscos econômicos fora da jurisdição do ImmuneFi. Esse framework ajuda os desenvolvedores a aprimorar a segurança de seus projetos, fornecendo diretrizes padrão para classificação e abordagem de vulnerabilidades. Ele também especifica todas as condutas proibidas nos programas de recompensa por erros para garantir práticas éticas e seguras de teste de segurança.
Principais características do ImmuneFi
ImmuneFi é o lar de várias características interessantes, incluindo:
Perfis ImmuneFi
Origem: immunefi
Perfis ImmuneFiajudar os whitehats a mostrar as suas conquistas ao mundo, incluindo as vulnerabilidades que reportaram, os seus ganhos, os crachás e prémios que conquistaram e a sua classificação no quadro de líderes da ImmuneFi.
Embora ainda seja a primeira versão, os perfis estarão disponíveis para todos os white hats com pelo menos um relatório pago no ImmuneFi. No entanto, nas próximas atualizações, toda a comunidade de pesquisa poderá acessar os perfis. A nova versão também incluirá novos recursos, como um Feed de Contribuição, que exibe relatórios ao longo do tempo para que os usuários possam acompanhar seu impacto.
O ImmuneFi tem seis crachás que serão anexados ao perfil do participante. Estes incluem:
- Um de Nós: Este distintivo é atribuído ao concluir o seu perfil Immunefi, incluindo todos os seus links de redes sociais.
- Comprei o BMW: Quando você ganhou mais de $100.000 na ImmuneFi.
- Há relva lá fora, sabes: Quando ganhaste mais de $1,000,000.
- Amigos em Posições Elevadas: Depois de ter ligado o seu perfil Immunefi à sua biografia do Twitter (pode demorar até 24 horas para aparecer, mas normalmente registra em 10 minutos).
- High Five: Depois de receber cinco recompensas no Immunefi.
- Rocketman: Quando identificas uma recompensa válida de um Impulso.
Mais distintivos, cartões de impulso e conquistas serão adicionados em atualizações posteriores.
Competições de auditoria
Origem: immunefi
Um Concurso de auditoriaÉ uma revisão de código sensível ao tempo com um pool de recompensa designado para whitehats. Durante esses eventos, hackers éticos relatam vulnerabilidades de segurança e as recompensas são alocadas com base no impacto e na gravidade de suas descobertas, conforme determinado pelo sistema de classificação da Immunefi.
A Immunefi associa-se a cada projeto de blockchain para personalizar a competição, incluindo a decisão sobre o tamanho do pool de recompensas e a duração do evento, e fornecendo assistência especializada em marketing para atrair pesquisadores hábeis.
Uma vez concluída a competição, os participantes são recompensados pelas suas contribuições, e os projetos recebem um relatório abrangente que descreve as principais descobertas e insights obtidos durante o evento.
Os desenvolvedores podem lançar competições de auditoria em dias e obter atualizações em tempo real enquanto a competição está em andamento. Eles também são mais econômicos do que a maioria das competições de auditoria, oferecendo taxas 20% mais baratas e conectando os desenvolvedores a uma comunidade mais ampla e qualificada de pesquisadores de segurança.
Outra característica notável é a tabela de classificação, que permite aos participantes acompanhar seu desempenho e se comparar. Além disso, os desenvolvedores ainda podem receber recompensas mesmo se outro pesquisador descobrir um erro primeiro. A recompensa é compartilhada entre todos que identificam o mesmo problema, assim aliviando a pressão de pressa e promovendo o trabalho em equipe.
Prémios whitehat
Origem: médio
O ImmunefiPrémios Whitehatsão projetados para celebrar os esforços notáveis dos whitehats que desempenharam um papel vital no aprimoramento da segurança do Web3. Estes prêmios reconhecem indivíduos pela sua reportação responsável de vulnerabilidades de segurança e oferecem diferentes formas de reconhecimento, como NFTs digitais e artigos de luxo.
Os prémios seguem uma estrutura escalonada, incentivando os hackers a atingirem metas específicas, como enviar relatórios que se qualifiquem para pagamento ou atingir determinados limiares de recompensa. Atualmente, as camadas são divididas em Camada Inicial, para whitehats que ganharam mais de $50,000 na ImmuneFi, e Camada Elite, para aqueles que ganharam mais de $100,000. No entanto, espera-se que mais camadas, como a Camada Mestre (mais de $1 milhão em ganhos) e a Camada Grande Mestre (mais de $10 milhões em ganhos), sejam anunciadas em breve.
Coleção do Salão da Fama dos Whitehats
Fonte:immunefi
A Whitehat Hall of Fame é uma coleção de NFTs para os white hats mais aclamados do mundo. Os detentores deste cartão do Hall da Fama são considerados os hackers mais talentosos e importantes do mundo. Eles recebem NFTs personalizados para imortalizar suas contribuições para a segurança da Web3.
Cada NFT é único e cunhado especificamente para cada relatório de erro significativo e bem-sucedido. Os detentores podem mantê-lo gratuitamente ou vendê-lo a colecionadores interessados em celebrar momentos históricos na segurança da Web3.
Apenas por convite
Fonte: immunefi
O ImmuneFiPrograma de Convite Exclusivoé projetado para selecionar apenas os pesquisadores mais qualificados para projetos específicos de recompensa por erros. Esse processo de seleção considera os requisitos técnicos de cada projeto e seu ecossistema, garantindo que a expertise dos pesquisadores esteja alinhada com as necessidades do projeto para uma auditoria eficaz ou participação em recompensas por erros.
A principal característica deste programa é o seu compromisso em manter a privacidade e confidencialidade. As equipas do projeto podem adaptar os seus protocolos para incluir acordos específicos relativos à confidencialidade, controlo sobre a visibilidade dos ativos e preferências relacionadas com a publicação dos resultados. Isto garante que qualquer informação sensível é tratada de forma segura, permitindo que os projetos trabalhem com especialistas em segurança de alto nível, ao mesmo tempo que mantêm os seus padrões de privacidade.
Ao concentrar-se em vulnerabilidades críticas e problemas de segurança significativos, o Programa Somente por Convite minimiza efetivamente o período de tempo em que possíveis ameaças podem surgir. Isso leva a uma detecção mais rápida e resolução de preocupações de segurança, aumentando assim a segurança geral do projeto de blockchain.
Cofres ImmuneFi
Fonte: immunefi
As Vaults ImmuneFi são projetadas para aumentar a transparência e a confiança entre whitehats e proprietários de projetos, ajudando-os a gerir de forma segura os ativos e pagamentos de recompensa pelos erros. Os projetos podem depositar e levantar fundos das suas vaults, e o saldo alocado para as recompensas é visível para os whitehats. Este nível de transparência ajuda a construir confiança, uma vez que os whitehats serão incentivados a submeter relatórios de erros de alto nível, uma vez que têm a certeza de que o projeto tem dinheiro suficiente para pagar pelos erros.
Os projetos podem configurar suas cúpulas em menos de 10 minutos. Após verificar um relatório de bug válido, os pagamentos são emitidos diretamente da cúpula do projeto, tornando as transações perfeitas e seguras. Este sistema também inclui recursos como verificação de carteira para evitar erros ou pagamentos errados.
As Vaults estão atualmente disponíveis na Ethereum e na Optimism, e espera-se que estejam disponíveis noutras cadeias EVM como a Polygon, a Gnosis Chain e a Arbitrum. Os projetos podem depositar stablecoins, ETH e qualquer outro ativo na lista de tokens da Uniswap. Eles também podem pagar recompensas com um ou mais ativos numa única transação.
Refúgio seguro do ImmuneFi
Fonte: immunefi
O ImmuneFi Safe Harbor é um quadro legal criado pela Security Alliance (SEAL) para permitir que whitehats protejam os fundos de um projeto quando este está sob ataque de blackhats ou atores maliciosos. Este quadro permite-lhes recuperar fundos que estão em risco durante tais ataques e redirecionar esses fundos com segurança para um Vault designado gerido pela Immunefi. Em troca, esses pesquisadores podem ganhar até 60% da recompensa máxima crítica disponível para o projeto.
Immunefi também integrou o Safe Harbor nos programas existentes de recompensa pelos erros. O Safe Harbor também utiliza o painel de relatórios de erros existente, para que os projetos possam usar o mesmo sistema de alerta de emergência e pessoal de segurança com os quais se sentem confortáveis. Como tal, o Safe Harbor atua como uma extensão dos programas de recompensa pelos erros da ImmuneFi.
Bugs Comuns Encontrados Pelos Hackers Immune Fi
Reentrância
As vulnerabilidades de reentrância ocorrem quando um contrato inteligente pode ser chamado várias vezes antes que a primeira execução seja concluída. Isso permite que os atacantes insiram código malicioso que chama repetidamente o mesmo contrato, drenando fundos ou alterando seu estado. Um exemplo famoso é o hack do DAO em 2016, que visava a rede Ethereum inicial. Para evitar problemas de reentrância, os desenvolvedores podem usar guardas de reentrância para evitar chamadas múltiplas durante uma única operação.
Oracle/Manipulação de Preços
Os oráculos de preço fornecem dados críticos do mercado, como preços de tokens, para contratos inteligentes. Assim, a manipulação do oráculo envolve atacantes explorando esses feeds de dados para fornecer informações falsas, resultando em cálculos de preço imprecisos. Por exemplo, manipular o oráculo permite a um atacante inflacionar os preços dos tokens e lucrar durante as transações. Para evitar isso, os desenvolvedores usam oráculos descentralizados que agregam dados de várias fontes.
Controlo de Acesso Fraco
A maioria dos sistemas adota medidas rigorosas de controle de acesso, como permissões baseadas em funções e autenticação robusta, para proteger contra acesso não autorizado. Esses controles garantem que usuários e processos recebam apenas as permissões necessárias para suas funções específicas. Documentar as capacidades e limitações de cada função ajuda a identificar possíveis vulnerabilidades, possibilitando testes unitários mais eficazes e resolução de conflitos. Esse processo ajuda a garantir que o sistema funcione conforme o previsto, reduzindo o risco de vulnerabilidades críticas causadas por negligência ou configurações incorretas.
Além disso, é essencial limitar a autoridade de cada função. Conceder permissões excessivas ou depender muito do controle centralizado pode causar danos significativos se uma conta ou chave privada for comprometida. Dividir as funções em segmentos menores reduzirá o impacto de tais violações, melhorando a estabilidade do sistema.
Frontrunning
A frontrunning ocorre quando um atacante explora a natureza pública das transações em blockchain. Os atacantes observam as transações pendentes no mempool (uma área temporária para armazenar transações não executadas na blockchain), e em seguida, colocam suas transações com taxas de gás mais altas para serem executadas antes da transação da vítima. Isso é particularmente comum em exchanges descentralizadas, onde o timing pode afetar os resultados das negociações.
Proxy não inicializado
Os contratos proxy não inicializados ocorrem quando as variáveis de armazenamento dentro de um contrato proxy não são configuradas corretamente antes de serem usadas. Essa falta de configuração adequada pode levar a riscos de segurança, uma vez que essas variáveis não inicializadas podem conter dados importantes ou influenciar funções-chave do contrato. Hackers maliciosos podem explorar essas vulnerabilidades, manipulando as variáveis não inicializadas para obter acesso não autorizado.
Notícias sobre ImmuneFi
Na edição de outubro de 2024 da sua relatório de perdas de criptomoedasImmuneFi compartilhou algumas estatísticas interessantes sobre as perdas que a comunidade cripto enfrentou este ano. De acordo com o relatório, a comunidade cripto perdeu até $1,400,073,177 para hacks e golpes até outubro de 2024, em 179 incidentes. Isso representa uma diminuição de um por cento em relação a outubro de 2023, quando as perdas chegaram a $1,414,641,935.
Em outubro de 2024, a comunidade cripto registou perdas de até $55,138,600 devido a hacks em sete incidentes, sem relato de fraudes. Isso representou um aumento de 114% em relação a outubro de 2023, mas uma diminuição de 56.6% em relação a setembro de 2024. As perdas mais significativas foram da Radiant Capital ($50 milhões) e da Tapioca DAO ($4.4 milhões). A DeFi foi o único setor afetado, com a BNB Chain sendo a mais visada, representando 50% das perdas totais. A ImmuneFi pagou mais de $100 milhões em recompensas pelos erros e salvou mais de $25 bilhões em fundos de usuários.
ImmuneFi é um bom investimento?
A ImmuneFi construiu uma reputação como o principal programa de recompensa pelos erros na indústria de criptomoedas. Oferece programas de recompensa pelos erros de escopo geral e soluções personalizadas como o programa Somente por Convite. ImmuneFi é o ponto de encontro para hackers éticos e proprietários de projetos, ajudando os projetos a se manterem seguros. Como tal, com sua expertise em segurança e abordagem flexível, ImmuneFi ajuda os projetos a construir ecossistemas mais seguros.
Artigos relacionados
Como Aposta ETH
Utilização de Bitcoin (BTC) em El Salvador - Análise do Estado Atual